시나리오 #1 침해사고가 발생한 시스템에서 확보한 메모리 덤프에서 프로세스 정보 추출하기 (시나리오1) 메모리 덤프파일에서 프로세스를 뽑아낼거다. volatility (python) -> 포렌식 도구 volatility25.exe -f memory.raw imageinfo -> 이미지 정보 추출 STEP step1. preocess PID, PPID 정보를 가진 목록을 추출. volatility25.exe -f memory.raw --profile=Win7SP1x86 pslist > pslist.txt step2. process의 부모자식관계 가시화한 리니지 분석. volatility25.exe -f memory.raw --profile=Win7SP1x86 pstree > pstree.txt step3...

최종정리□ 피해 시스템 상세 분석 FTP 로그 분석 결과 공격자는 2011년 4월 28일 21:23:09에 FTP 계정(admin)을 사용하여 최초 웹쉘(member....) 업로드 한것으로 확인 ftp 업로드 로그 첨부 공격자가 업로드한 웹쉘 실행화면 및 웹쉘 정보 웹쉘에 접속한 웹로그 분석 결과 공격자는 2011년 4월 28일 21:23:38에 웹쉘에 최초 접속 공격자 IP : 공격자가 웹셀에 접속한 웹로그 첨부 root 권한을 획득하기 위해 업로드한 exploit 업로드 로그 분석 결과 공격자는 2011년 4월 28일 22:11:38에 .exp1 및 동년 동월 동일 22:11:52에 .exp2를 웹쉘을 사용하여 /tmp/.../ 디렉터리에 업로드 exp1, exp2를 업로드하기 위해 웹쉘을 사용한 ..

Redhat9 기반의 침해 PC를 vmware에서 실습했다. 네트워크 설정에서 vmnet8의 subnetIP를 10.10.10.0 대역대로 맞추고, DHCP 범위를 5에서 254까지 맞췄다. 그러고 RedHat 을 실행시키면 10.10.10.15로 실행된다. 이제 Putty로 10.10.10.15로 open. 설정한 아이디와 패스워드 입력 후 접속 완료. 이게 해킹당한 웹서버다. 해킹당한 웹서버를 분석할 때는 제일 중요한 것이 휘발성 데이터다. 재부팅했을 때 사라지는 휘발성 데이터는 실시간으로 누적되지 않고 계속 변동이 발생한다. 대표적으로 네트워크 트래픽, 프로세스, 메모리, 접속 데이터 등이다. 이제 분석을 시작해 보자. 휘발성 데이터 수집 네트워크 분석 공격자가 명령어를 변조하거나 위장했을 수도 있..

침해사고 분석을 위해서 여러가지 분석도구를 사용한다. 오늘은 아래 네가지 분석도구를 통해 웹로그를 분석해보았다.이 파일들을 C:\Windows\System32 경로에 복사한다.이렇게 뜨면 정상적으로 세팅 됐다. 웹서버에는 모든 로그가 남겨져있다. 그래서 로그에는 거의 대부분이 웹로그다. 어떤 웹브라우저, 어떤 언어, 운영체제 등등의 정보들이 모두 웹로그에 있다. 그래서 해킹사고대응 할 때 웹로그를 제일 먼저 분석한다. GET 메서드는 헤더부분만 사용하기 때문에 웹로그에는 GET메서드 헤더부분만 뜬다. POST 메서드는 웹서버에 파일을 간접적으로 전송할 때 사용하는 메서드다. 그래서 웹로그에는 URI step까지만 표현되고 쿼리 스트링은 표현이 안된다. 그리고 공격자의 행위에는 POST 메서드가 반드시 포..

Vmware ESXI 베어메탈 서버를 구축하고 500GB SSD를 장착했는데 ESXI를 설치하면서 썼던 USB만 인식이 됐다. 가상시스템을 추가하기위해 스토리지 선택할때도 보이지 않았다. 일단 ESXI 호스트에 SSH 접속을 하기 위해 아래의 서비스를 활성화 시켜준다. 그러면 호스트 ip주소로 SSH 접속이 가능해진다. 여기서 인식된 디스크를 다시 한번 확인하기 위해 /dev/disks/ 를 확인해보면, 여기에도 내가 장착했던 SSD를 확인할 수 없었다. 여기서 아래 명령어를 치고 다시 디바이스를 확인해보면 SSD를 인식한다. [root@localhost:~] /etc/init.d/usbarbitrator stop [root@localhost:~] chkconfig usbarbitrator off 이제 ..